Lüttich Holger schrieb:
die Idee mit den eigenen Regeln hatte ich auch schon, bleiben aber noch ein par probleme:
1 dynamische ip vom provider - deshalb der aufruf in ip-up damits die firewall mitbekommt wie mach ich das ? Wozu brauchen Deine Regeln die dynamische IP-Adresse? Ich habe auch eigene Regeln und die sehen so aus:
/sbin/ipchains -P input REJECT # alles sperren /sbin/ipchains -P output REJECT /sbin/ipchains -F input # Regeln löschen /sbin/ipchains -F output /sbin/ipchains -A input -i eth0 -j ACCEPT # Ethernet darf alles /sbin/ipchains -A output -i eth0 -j ACCEPT /sbin/ipchains -A input -i lo -j ACCEPT # Loopback darf alles /sbin/ipchains -A output -i lo -j ACCEPT /sbin/ipchains -A input -i dummy -j ACCEPT # Dummy darf alles /sbin/ipchains -A output -i dummy -j ACCEPT # ----------------------- ausgehende Verbindungen ------------------- # ssh ausgehend erlaubt /sbin/ipchains -A output -i ippp0 -p tcp --dport 22 -j ACCEPT /sbin/ipchains -A input -i ippp0 -p tcp --sport 22 -j ACCEPT # telnet ausgehend erlaubt /sbin/ipchains -A output -i ippp0 -p tcp --dport 23 -j ACCEPT /sbin/ipchains -A input -i ippp0 -p tcp --sport 23 -j ACCEPT # smtp ausgehend erlaubt /sbin/ipchains -A output -i ippp0 -p tcp --dport 25 -j ACCEPT /sbin/ipchains -A input -i ippp0 -p tcp --sport 25 -j ACCEPT ... ... # archie ausgehend erlaubt /sbin/ipchains -A output -i ippp0 -p tcp --dport 1525 -j ACCEPT /sbin/ipchains -A input -i ippp0 -p tcp --sport 1525 -j ACCEPT # ping ausgehend erlaubt /sbin/ipchains -A output -i ippp0 -p icmp \ --icmp-type echo-request -j ACCEPT /sbin/ipchains -A input -i ippp0 -p icmp \ --icmp-type echo-reply -j ACCEPT # ----------------------- eingehende Verbindungen ------------------- # ssh eingehend erlaubt /sbin/ipchains -A input -i ippp0 -p tcp --dport 22 -j ACCEPT /sbin/ipchains -A output -i ippp0 -p tcp --sport 22 -j ACCEPT ... ... # https eingehend erlaubt /sbin/ipchains -A input -i ippp0 -p tcp --dport 443 -j ACCEPT /sbin/ipchains -A output -i ippp0 -p tcp --sport 443 -j ACCEPT # ping eingehend erlaubt /sbin/ipchains -A input -i ippp0 -p icmp \ --icmp-type echo-request -j ACCEPT /sbin/ipchains -A output -i ippp0 -p icmp \ --icmp-type echo-reply -j ACCEPT Die Freischalt-Zeilen sind jeweils die erlaubte Richtung und die Antwort-Pakete dazu. Ausgehend braucht man wohl ftp (20,21), ssh (22), telnet (23), smtp(25), time (37), dns (UDP 53), http (80), pop (110), nntp (119) und https (443). Wer will, kann auch noch real-audio (554) und archie (1525) dazunehmen. Eingehend kann man sich auf ssh (22) beschränken, wenn man nicht noch ftp (20,21), http (80), pop (110), imap (143) und https (443) anbieten möchte. Forwarding-Regeln habe ich keine, da alles, was geforwarded wird, ja sowieso über Input und Output läuft bzw. gesperrt wird. Wenn ich noch Masquerading will, kommen noch folgende Zeilen hinzu: /sbin/ipchains -F forward /sbin/ipchains -A forward -i ippp0 -s 192.168.4.0/24 -j MASQ Fertig ist die Laube.
2 wenn ich die firewall routen uns masq machen lasse wozu brauche ich dann noch einen proxy Ein Proxy läßt sich meist differenzierter steuern als eine Firewall. Sieh Dir mal die Konfiguration von Squid an; da wird Dir schwindelig. Außerdem ist Squid z.B. ein caching Proxy; d.h. wenn Du 15 Leute hast, die sich alle die gleichen Seiten ansehen, wird jede Seite nur einmal über's Netz geholt.
3 und andersrum wenn ich einen proxy verwende (squid) muß die firewall dann routen, womit ich wieder bei 2 bin ( das könnten die unbekannten ports sein die geblockt werden ) Wenn Deine Clients nur Surfen wollen bzw. Du für alles, was Du von den Clients aus tun willst, einen Proxy aufsetzt, brauchst Du kein Masquerading. Allerdings weiß ich nicht, ob es z.B. einen Real-Audio-Proxy gibt.
Hallo Holger, ich hab' meinen Senf mal oben reingeschrieben. Auch mein Tip: Vergiß die SuSE-Skripte und nimm eigene. Da weißt Du wenigstens was passiert. mfg Volker -- Volker Böhm Tel.: 040/25 15 37-118 Alpha Leasing GmbH Fax: 040/25 15 37-190 Grevenweg 72 e-Mail: boehm@alpha-leasing.de 20537 Hamburg vboehm@t-online.de